Как стать автором
Обновить

Комментарии 74

А что делать когда WG по протоколу будут резать? Уже были прецеденты.

Как вариант - понастраивать на Keenetic'е OpenConnect (опенсорсный аналог Cisco AnyConnect).

Но, увы - через командную строку, сложно и долго...

Обновится на dev ветку, в 4.2 уже завезли и в гуи настройку.

Я совсем еще новичок в этой теме, где мне можно на хабр или на других ресурсах почитать про openconnect? Просто на провайдере Ростелеком я постоянно замечаю спустя время какое-то резкое снижение скорости спустя время через WG. Грешу на провайдера

https://habr.com/ru/articles/776256/

PS. Но это - просто про OpenConnect.

Без привязки к Keenetic"у

Можно через wg подключаться к промежуточному серверу, который будет принимать подключения по wg, а выходить в "чистый интернет" через vless, vmess, shadowsocks и прочие.

Таким промежуточным сервером умеет быть xray. Это даже через панель X-UI настраивается кликами мышкой.

Пока внутри страны не режут wg, такой сервер можно хостить на vps.

Или размещать xray сервер внутри своей локальной сети.

Есть гайд как в X-UI такой тунель через wg сделать?

В последней бета-версии прошивки Keenetic появилась поддержка AmneziaVPN.
Файл конфигурации как обычно импортируется через web интерфейс (wireguard), далее в командной строке для данного подключения добавляются параметры для Amnezia.

Ну, она там появилась неявно, надо уточнять для неопытных. Официально никакой поддержки нет.

Здравствуйте. Не могли бы вы подсказать как подключить amnesiavpn. На смартфоне я использую amnesia, а как на своем kn-1011 это все прописать не понимаю. Не силен в этом.

Я вам несколько дней назад в личные сообщения ответил.

Здравствуйте. Большое спасибо. Да все у меня получилось. Все работает. Хотя я полный ноль в этом. В тот же день сделал. Но у меня вылезла другая проблема. Неловко вас нагружать лишними мыслями. Проблема в том что у меня щас и торенты качаются через роутер через VPN. Я не знаю как этот трафик поделить что бы торент обращался в обход VPN, а так же сайты которые я не хочу пускать через ВПН. Например почта России. Если не трудно подскажите

Тоже этот вопрос интересует. Получилось у вас?

Да все работает. Маршруты прописал что бы все запрещенка шла через амнезию. А торренты и вся чепуха через обычное соединение.

Какой-то гайд для чайников как это сделать можете порекомендовать?

Пока что почти не режут IKEv2, попробуйте. Он даже на 7621-кинетиках дает под 140 Мбит/с. Прочая логика настройки та же.

Шаг "Создаём сегмент домашней сети" не нужен.

На предыдущем шаге, где создавали политику, переходим на вкладку "Policy Bindings (ру. Применение политик)" и привязываем телевизор (предварительно зарегистрированный) к новой политике.

Если использовать более мягкую формулировку "не обязателен" - то может быть и не обязателен.
Но на мой вкус для целевой аудитории проще один раз настроить дополнительную WiFi сеть, чтобы в дальнейшем иметь возможность инструктировать по телефону: "Бабушка, если хочешь и на смартфончике посмотреть Yoputube - просто подключи его вооон к той WiFi сети"

А не лазать по настройкам...

Не обязателен, да.

И в статье пропущена привязка нового сегмента к новой политике, новый сегмент попадет в политику по умолчанию.

Да, спасибо и плюс Вам в карму - потерялось :)
Дополнил статью.

Точно ничего не пропущено в настройке? Все сделал по списку, подключился с телефона к новой сети - интернет работает, только работает абсолютно так же, как будто нет wireguard

Пропущено - забыл привязать политика политику :)
Дополнил статью.

"Если телевизор подключён по WiFi (что не очень здорово, но я понимаю – ремонт, не проложенный вовремя кабель и всё такое)"

Вот не соглашусь про ремонт и кабель. У современных ТВ в приоритете как раз Wi-Fi банально мой Samsung Frame 22 года имеет AC Wi-Fi но пр этом LAN порт 100Мб. И это много где встречается на ТВ.

Я конечно, очень рад за производителей телевизоров и их маркетологов.

А также пользоаателей телевизоров, живущих в отдельных домах...

Но вот при использовании ТВ в обычном многоквартирном доме радиэфира на всех может и не хватать... Особенно занятно в свежепостроенной)м и постепенно заселяемом многоквартирном доме. Вначале - всё супер. А потом, по мере появления соседних WiFi сетей (а потом - десятков соседних стей) картинка начинает сыпаться...

Такое только на 2.4 ГГц наблюдается. 5 ГГц работает без проблем уже 5 лет. Все 866 мбит выжимает без проблем. Главное в кинетике для телека запретить работу 2.4 ГГц подключения.

В современных ремонтах вообще провода лишний раз не прокладывают. 5 ГГц и mesh всё вывозит даже на старом АС стандарте. Причём соседи не мешают, так как волны этой частоты просто не проникают толком через стены.

вот да ) только после своего комментария прочитал ваш ) свой мог бы и не писать )

Вот не соглашусь, телевизор нужно подключать к 5G сети, соседние сети в этом диапазоне врятли попадут к вам в квартиру, максимум со смежных по этажу. Вообще в квартире нет ничего на проводе, интернет шарашит на ура и никаких проблем.

Для этих целей я лично приобрел юсб-езернет донгл из списка подходящих к моему телевизору и воткнул кабель в него. Теперь у меня на ТВ полные 1000 Мбит по кабелю без использования радиоэфира. Рекомендую для стриминга по сети DLNA.

Именно поэтому я не понял автора статьи, зачем делать выделенную сеть, если ТВ все равно идёт по кабелю, надо именно что каждому устройству выделять политику выхода в сеть

На вашем телевизоре донгл USB 3.0? Т.к. обычный 2.0 даже в теории выдает не более 480 Мбит , на практике в бытовых устройствах меньше.

Хороший вопрос, до НАС я так и не померял скорость. Но 300 Мбит тариф выдает нормально.

У меня почему то не подключается к впн (не появляется зеленая иконка). И как будто даже не пытается подключиться, судя по цифрам 0 у "Отпрвлено" и "Получено". Хотя этот впн точно работает на устройствах. Может есть где-нибудь лог подключения?

Нужно ещё в настройках VPN (если он у вас пустой) указать значение параметра "Проверка активности", например, 30 секунд. По сути это keepalive

Да, у меня без этого не работало. Спасибо!

А можно вопрос не совсем по теме спецам по Кинетикам? Учитывая гибкость настроек - у них нет способа одну сеть с несколькими ssid'ами сделать? Мне на даче надо 3 ssid из разных квартир анонсировать, чтобы всякие Алисы безшовно переезжали.

А оборудование какое? У keeneticов же своя wifi mesh сеть поддерживается, работает хорошо.

Если это три сторонние сети, то кинетик может к одной по 2.4гц подключаться, к другой по 5ггц, а вот третья сеть хз. Из трёх сетей стороннего оборудования собрать одну меш сеть достаточно проблематично будет на любом домашнем роутере мне кажется.

Keenetic Giga (KN-1011)

Но я другое имел в виду. Три семьи сьезжаются на дачу. У всех Алисы привязанные к домашним ssid. На дачу хочу поднять все три ssid на одном Кинетике. Если конечно так можно. Циски умеют так например.

Заходим в главном (левом) меню в "My Networks and Wi-Fi" – "Home segment"

И создаём новый сегмент.

И задаём SSID, какой надо...

Я видимо что-то не то и не так делаю. На мастере новый сегмент создается, на extender его нет. Если создать новый сегмент на extender, то там IP не выдается клиентам. Прошивка 4.1.7

А зачем Алисам одна сеть? Им же просто интернет нужен, ну сделайте на кинетике 3 разные вафли и всё

Я видимо что-то не то и не так делаю. На мастере новый сегмент создается, на extender его нет. Если создать новый сегмент на extender, то там IP не выдается клиентам. Прошивка 4.1.7

Добрый день, спасибо за инструкцию. Настроил на OpenVPN, поскольку его поднял на VDS пару лет назад. Работает, но вот осбенность: если устройство зарегистрировано на Keenetic, то для устройства прописывается политика доступа и она не меняется при подключении к WiFi сети с другой привязанной политикой. Если убрать регистрацию - всё ОК. Если кто знает, как это обойти не удаляя регистрацию устройства - буду рад советам.

Спасибо за статью.
Также проблема с зарегистрированным устройством. Убрал регистрацию и IP адреса почему-то задублировались в UI роутера.
Переключение сети в этом случае не меняет сегмент сети, почему-то.

ИМХО они правильно задублировались - в роутере создается 2 подсети (192.168.1.х и 192.168.2.х), а MAC у компьютера один, так что получаем 2 DHCP записи, по одной на сегмент

Есть ещё вариант пустить трафик на сервера Гугла через отдельный маршрут в wg, если нужна инструкция могу скинуть. Только ipv6 надо отключить от провайдера, если он даёт айпи адрес ipv6, если у вас нет ipv6 адреса wg туннеля, т.к. маршрутизацию в кинетике можно настроить только по ipv4 в таком случае. Кому надо могу скинуть инструкцию.

Хотя я хочу попробовать ещё фильтрацию под поддомену попробовать настроить

Было бы круто пускать не весь трафик через VPN по сегментам, а все устройства на часть доменов напрямую, а на часть через VPN. Но, как я понимаю, по-простому у Keenetic такое не реализовать... или я отстал от жизни и такое уже делается без перепрошивок?

Делается, могу скинуть инструкции если надо. Но нужен кинетик с юсб портом.

Надо. Скинь плиз.

мне тоже скинь пожалуйста

мне тоже, пожалуйста

можешь, пожалуйста, мне тоже скинуть?

Вот уж не подумал бы зачем мне юсб порт на кинетике (только собираюсь покупать), если у меня есть отдельный NAS)

Можно тоже ссылочку

можешь, пожалуйста, мне тоже скинуть инструкцию

Добрый день!

Можно и мне ссылочку, пожалуйста?

Спасибо за гайд. Осталась одна проблема - новая WiFi сеть не коннектится к интернету. При этом коннект по туннелю есть (смотрел на сервере) и на роутере. В чем может быть дело? Не надо файрвол на роутере настраивать?

В моем случае соединение с WG не заводилось пока не выставил свойство keepalive, поставил значение 30, всегда серый значок был.

То же самое. Поставил 30 и тут же подключился.

На help.keenetic.com пишут по умолчанию 30 но бывает 15 или 10.

Где вы устанавливали его? в Кинетике установил 30, но все равно серым горит, пакеты отправляет, но не получает обратно

В меню Другие подключения(Other Connections), в свойствах подключения к WG, секция "Настройка пира"(Peer settings), параметр "Проверка активности" (Persistent keepalive). По умолчанию значение пустое.

У меня IPTV внутри сети провайдера. Как-то можно сделать без прописывания маршрутов?

Но есть "политика по умолчанию" куда и добавляется также подключение "WireGuard" и если указать в стат.маршрутах ip ютуба, то обычное подключение Wifi, не отдельное, тоже будет дергать WG.
Вот как можно сделать, чтоб не дергало при использовании стат.маршуртов?

Я уже создал две доп.политики, где указан только WG и где только обычное подключение. перевел пзаргестринованныз по разным политикам и подключениям, но к ютубу все равно все дергают WG, хоть в выбранной сети Wifi она и не выбрана, в пользователе только выбирал политику без WG.
Кто нибудь сталкивался с таким или нет?
Идея просто в том, чтобы WG дергал только ТВ когда идет запрос к ютубу, но все остальные сервисы на ТВ дергали обычную сеть. И чтобы все остальные пользователи Wifi дергали обычную сеть, без WG.

Спасибо за инструкцию - все работает. НО - есть проблема если весь трафик заворачивается через WG, то проблема на телевизоре с тем же кинопоиском. Как -то можно на кенетике развести маршруты?

Можно, но это уже всё сильно сложнее и муторнее. Описанная схема идеальна для смартфонов, где переподключиться к другой сетизанимает 10 секунд, и, вероятно, свежих смарт-телевизоров, где переподключение к вайфаю аналогично удобное (у старых телевизоров надо муторно в менюшке копаться).

На кинетиках на наклейке нет админского пароля, поправьте. Пароль всегда задается пользователем.

Там пароль для первого входа при первом запуске или сбросе

Вы лично видели? Нет там пароля. Еще раз перечитайте, что я написал.

За идею спасибо. На этапе байндинга можно отдельные устройства привязывать. Сегмент не нужен

Это все хорошо и понятно. А есть ли техническая возможность сделать traffic steering policy или своеобразный split tunneling, чтобы траффик в сторону Instagram/linkedin/etc. шел через WireGuard VPN, а все остальное выплевывалось через провайдера?

в разделе маршрутизация прописуеш ip-шник до желаемого ресурса и указуеш интерфейс провайдера или VPN и все

Дополню - в Defaul Policy автоматом попадают и основное подключение ISP, и настроенные туннели. Для того, чтобы Home segment оставался в основном подключении, надо создать ему отдельную политику и забиндить - в противном случае он по какому-то внутреннему приоритету выбирает подключение и может тоже подключиться через VPN (проверено на Keenetic Hopper (KN-3810) с KeeneticOS 4.2 Beta 2)

UPD: кажется понял - он подключается в порядке упоминания подключений в default policy, так что отдельную можно не создавать - только следить за верным порядком (в моем случае VPN оказался выше, и все подключения ходили через туннель)

Друзья, подскажите, пож, как такое может быть

WG настроил, сегменты, политики настроил. Итог: PC, телефон через WiFi дают YouTube, а ТВ - нет (бесконечная загрузка видео, а превью и остальные интерфейсы (все, кроме собственно видео) - работают.

Что делать, куда копать?

Настроил все по инструкции. Не получается только заставить работать ретраслятор buddy 6 как надо. Был подключен по проводу (порт 1, порт привязан в дом сегмент по умолчанию). И в вифи впн через него не заходит (главный роутер пускает в впн сеть как положено при этом). Если провод убрать (отключить порт или вытащить провод), бади соединяется с роутером по вифи и в впн начинает через него заходить и все ок. Но как заставить работать его по проводу... Пробовал порт 1 кидать в впн сегмент - ничего не дало (да и если бы дало, весь трафик пошел бы через впн, думаю). В созданной политике vpn добавлял ethernet-подключюение к одинокому wireguardu там, тож ничего не дало. Может кто настраивал, подскажет что :)

У меня другая проблема. При использовании в Keenetic WireGuard, не открывает заблокированные сайты : "Ваше подключение не является приватным" NET::ERR_CERT_COMMON_NAME_INVALID
То есть доступ сайту как бы есть, но сертификат не дает его открыть.

Если использовать приложение WireGuard то все нормально.

Есть идеи?

Скорее всего, DNS запросы идут через вашего основного оператора связи и оператор связи подменяет ответы и перенаправляет вас на "заглушку". Т.к. соединение шифрованное и сертификат не совпадает, браузер сообщает об этой ошибке.
DNS запросы также нужно отправлять через VPN или использовать DoH.
Маловероятно, но возможно (проверьте) системное время на компьютере/смартфоне некорректное.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории